abonnementen ibood.com bol.com Gearbest
pi_172998234
quote:
Bill Burr, een voormalig Amerikaans overheidsmedewerker die in 2003 een set strenge eisen voor computerwachtwoorden opstelde, zegt dat hij spijt heeft van zijn invloedrijke werk.

Burr stelde voor het National Institute of Standards and Technology (NIST) een advies op, waarin hij mensen onder meer opriep om veel getallen en speciale tekens te gebruiken in wachtwoorden, en om deze regelmatig te veranderen.

De standaarden van NIST hebben veel invloed binnen de Amerikaanse overheid en in de privésector. Door het eerdere document van Burr was het bij veel agentschappen en bedrijven verplicht om regelmatig alle wachtwoorden te vervangen en tekencombinaties te gebruiken die moeilijk te onthouden zijn.

"Ik heb nu spijt van veel van wat ik heb gedaan", zegt de 72-jarige Burr dinsdag tegen de Wall Street Journal. In juni stelde NIST een nieuwe versie van zijn advies op, waarin grote veranderingen werden doorgevoerd.

Onthouden
In de praktijk blijkt dat veel mensen bij verplichte wachtwoordwijzigingen slechts kleine aanpassingen maken, door bijvoorbeeld één cijfer te wijzigen. Ook leidden de eisen ertoe dat veel mensen makkelijk te raden wachtwoorden als 'W4chtw00rd!' gebruiken.

Volgens experts is het beter om een lang, maar makkelijk te onthouden wachtwoord te gebruiken, dan een korter en ingewikkelder wachtwoord. Een wachtwoord dat bestaat uit vier willekeurige woorden achter elkaar is bijvoorbeeld moeilijk te kraken.

"Het was uiteindelijk waarschijnlijk te ingewikkeld voor veel mensen om goed te begrijpen, en eerlijk gezegd had ik een verkeerde aanpak", zegt Burr nu over zijn advies. "Mensen worden er gek van en ze kiezen toch geen goede wachtwoorden, wat je ook doet."
http://www.nu.nl/internet(...)sen-heeft-spijt.html

Uw wachtwoord moet minstens 8 en maximaal 16 tekens bevatten.
Uw nieuwe wachtwoord moet minimaal het volgende bevatten:
- 1 hoofdletter
- 1 kleine letter
- 1 cijfer
- 1 speciaal teken

D0nd%r toch snel op :r
Een wachtwoord als "konijn wortel doperwt groen" is beter dan welk wachtwoord met speciale tekens en cijfers dan ook.

Gelukkig is deze man tot inkeer gekomen. Maar helaas is het kwaad al geschied.
Acquisitie n.a.v. deze post wordt niet op prijs gesteld.
Ter info: op DM's wordt niet gereageerd.
Where's that confounded bridge?
As an on-line radio program grows longer, the probability of a German song approaches 1.
  dinsdag 8 augustus 2017 @ 16:19:05 #2
147511 Cyanide-
Extreem irriterend
pi_172998268
password_strength.png
  dinsdag 8 augustus 2017 @ 16:30:18 #4
335133 MichaelScott
fulltime CEO//parttime fluffer
pi_172998475
Begreep sowieso al nooit waarom je elke maand je wachtwoord zou moeten veranderen.
Op zaterdag 8 februari 2014 23:39 schreef Slaapscheet het volgende:
Oke, MichaelScott, je bent geweldig. :D
  Redactie Frontpage dinsdag 8 augustus 2017 @ 16:36:03 #5
346939 crew  Janneke141
Green, green grass of home
pi_172998577
quote:
14s.gif Op dinsdag 8 augustus 2017 16:30 schreef MichaelScott het volgende:
Begreep sowieso al nooit waarom je elke maand je wachtwoord zou moeten veranderen.
En waarom men dan het idee heeft dat de meerderheid iets anders zou doen dan één cijfer of één letter veranderen.
Opinion is the medium between knowledge and ignorance (Plato)
  dinsdag 8 augustus 2017 @ 16:39:23 #6
459912 FlippingCoin
Weer zo'n kut millennial.
pi_172998626
quote:
14s.gif Op dinsdag 8 augustus 2017 16:30 schreef MichaelScott het volgende:
Begreep sowieso al nooit waarom je elke maand je wachtwoord zou moeten veranderen.
Dat is wel goed voor mensen die overal dezelfde combinatie van e-mail adres en wachtwoord gebruiken.
slechts gestoord door het niet gestoord willen worden
You can all run naked backwards through a field of dicks. :6
leve de eigenpijperij
pi_172998640
Bill Burr... zo heet een favo cabaretier en acteur in Breaking Bad ook toch
  dinsdag 8 augustus 2017 @ 16:44:25 #8
8130 raptorix
THAI CHARACTER MAITAIKHU
pi_172998722
quote:
0s.gif Op dinsdag 8 augustus 2017 16:36 schreef Janneke141 het volgende:

[..]

En waarom men dan het idee heeft dat de meerderheid iets anders zou doen dan één cijfer of één letter veranderen.
Dat is bij ons uitgeschakeld, als je iets neemt wat er te veel op lijkt word het afgekeurt.
Bij ons is ook policy om zoveel mogelijk software en systemen via je windows credentials te laten lopen, als iemand uit dienst gaat is gelijk in 1 keer alles geregeld.
  Moderator dinsdag 8 augustus 2017 @ 16:45:10 #9
27682 crew  Bosbeetle
terminaal verdwaald
pi_172998742
berenpak2 toch gewoon altijd.
En mochten we vallen dan is het omhoog. - Krang (uit: Pantani)
My favourite music is the music I haven't yet heard - John Cage
Water: ijskoud de hardste - Gehenna
LPs | CDs
pi_172999083
Bij het bedrijf waar ik werkt krijgt iedereen bij binnenkomst het wachtwoord Welcome01 en je moet dan iedere drie maanden een nieuw wachtwoord kiezen. Mijn wachtwoord is nu Welcome17
Liberals are acting like Trump is going to kill all the gays, make slavery legal again, and take away women's rights...
Like he's a Muslim or something.
pi_172999100
quote:
0s.gif Op dinsdag 8 augustus 2017 17:00 schreef LXIV het volgende:
Bij het bedrijf waar ik werkt krijgt iedereen bij binnenkomst het wachtwoord Welcome01 en je moet dan iedere drie maanden een nieuw wachtwoord kiezen. Mijn wachtwoord is nu Welcome17
Net als alle anderen die tegelijkertijd met jou startten. :+
Acquisitie n.a.v. deze post wordt niet op prijs gesteld.
Ter info: op DM's wordt niet gereageerd.
Where's that confounded bridge?
As an on-line radio program grows longer, the probability of a German song approaches 1.
pi_172999239
quote:
0s.gif Op dinsdag 8 augustus 2017 17:01 schreef spijkerbroek het volgende:

[..]

Net als alle anderen die tegelijkertijd met jou startten. :+
Haha. Ja. Als je weet hoe lang iemand bij de baas zit kun je zijn wachtwoord vaak wel raden. Gemakkelijk als iemand ziek tthuis is.

Daarom is het ook zo mega-irritant als mensen op eigen initiatief in het systeem gaan kloten. Met Nederlandse wachtwoorden zoals Welkom01 of met de hoofdletter op de foute plaats.
Liberals are acting like Trump is going to kill all the gays, make slavery legal again, and take away women's rights...
Like he's a Muslim or something.
pi_172999359
Berenpak2
Op zondag 2 november 2014 18:23 schreef MMGYMCMB het volgende:
Wtf, gezien en dacht dat je zat te trollen, wejema kifesh Mur is best knap (no homo).
pi_172999643
quote:
0s.gif Op dinsdag 8 augustus 2017 16:44 schreef raptorix het volgende:

[..]

Dat is bij ons uitgeschakeld, als je iets neemt wat er te veel op lijkt word het afgekeurt.
Bij ons is ook policy om zoveel mogelijk software en systemen via je windows credentials te laten lopen, als iemand uit dienst gaat is gelijk in 1 keer alles geregeld.
Dat kan in principe niet. Of je moet de wachtwoorden als plain tekst (via 1 of andere encryptie eventueel) opslaan. Bij de echte systemen wordt alleen de hashcode opgeslagen. En die hashcode is heel erg anders, ook bij 1 teken verschil. Voor de systemen en en hackers maakt het allemaal niet zoveel uit. Het is het uitproberen van hashcodes. Dat moet op ieder systeem beperkt worden tot maximaal 4 keer fout en daarna een uur pauze. Zo ben je veilig tegen automaten.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_172999665
quote:
0s.gif Op dinsdag 8 augustus 2017 17:00 schreef LXIV het volgende:
Bij het bedrijf waar ik werkt krijgt iedereen bij binnenkomst het wachtwoord Welcome01 en je moet dan iedere drie maanden een nieuw wachtwoord kiezen. Mijn wachtwoord is nu Welcome17
Idem. Alleen met iets anders ervoor Ik begon op 2008 en zit nu op 2029. :)
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_172999715
quote:
Dit is spot on inderdaad. Het is mooi dat de man die dit bedacht heeft nu spijt heeft. Voortschrijdend inzicht is altijd iets erg moois vind ik.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_172999857
Hier op school:

wc6wQw0.png

:')
  Donald Duck held dinsdag 8 augustus 2017 @ 17:43:17 #18
46149 __Saviour__
Superstapelsmoor op Kristel
pi_172999906
Ik laat altijd een ww genereren en onthouden door een wachtwoordmanager. Werkt ideaal, nooit omkijken naar.
♥ Rozen zijn rood ♥
❤ Viooltjes zijn blauw ❤
♥ Kristel, ik hou van jou! ♥
pi_172999911
quote:
0s.gif Op dinsdag 8 augustus 2017 17:41 schreef Flitskikker het volgende:
Hier op school:

[ afbeelding ]

:')
Zoals gezegd: als het systeem die punten allemaal kan controleren dat is het inherent onveilig omdat de echte wachtwoorden ergens opgeslagen worden. Zeg dat maar tegen je school.

Het is wel duidelijk dat "de mens" maar ook degenen die het implementeren bijzonder weinig snappen van het metier.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_172999931
quote:
0s.gif Op dinsdag 8 augustus 2017 17:43 schreef __Saviour__ het volgende:
Ik laat altijd een ww genereren en onthouden door een wachtwoordmanager. Werkt ideaal, nooit omkijken naar.
Tot het wachtwoord van deze manager aan de beurt is. Dan heb je ze allemaal in 1 keer. Slecht idee.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_172999941
quote:
0s.gif Op dinsdag 8 augustus 2017 17:43 schreef Bart2002 het volgende:

[..]

Zoals gezegd: als het systeem die punten allemaal kan controleren dat is het inherent onveilig omdat de echte wachtwoorden ergens opgeslagen worden. Zeg dat maar tegen je school.
Nu je het zegt; terechte klacht. Gelukkig zit ik er niet meer.
pi_172999974
Eigenlijk zegt het plaatje in post #2 alles. De rest van hoe wij erover denken is op misverstand gebaseerd.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  Redactie Frontpage dinsdag 8 augustus 2017 @ 17:52:26 #23
346939 crew  Janneke141
Green, green grass of home
pi_173000082
quote:
0s.gif Op dinsdag 8 augustus 2017 17:46 schreef Bart2002 het volgende:
Eigenlijk zegt het plaatje in post #2 alles. De rest van hoe wij erover denken is op misverstand gebaseerd.
Terwijl dat een stukje combinatoriek is dat een leerling uit 3-vwo ook voor je uit had kunnen rekenen.
Opinion is the medium between knowledge and ignorance (Plato)
pi_173000085
quote:
0s.gif Op dinsdag 8 augustus 2017 17:44 schreef Flitskikker het volgende:

[..]

Nu je het zegt; terechte klacht. Gelukkig zit ik er niet meer.
Vooral punt 3 is heel kwalijk. Het mag niet langer zijn dan 13 tekens. Dat is werkelijk nergens op gebaseerd. Zij dachten daar duidelijk: als we maar heel veel regels verzinnen dan is het wachtwoord automagisch veilig. Dat idee klopt niet. Sterker nog: het is volkomen fout. Je moet niet denken als een mens als je de regels bedenkt.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173000108
quote:
0s.gif Op dinsdag 8 augustus 2017 17:52 schreef Janneke141 het volgende:

[..]

Terwijl dat een stukje combinatoriek is dat een leerling uit 3-vwo ook voor je uit had kunnen rekenen.
Zeer zeker. Toch wordt er op de afdelingen die het beleid voorschrijven gedacht zoals in het bovenste deel van de strip. Dat is juist zo kwalijk. Je krijgt dan dat soort regels als: max. 13 tekens. Niemand weet waarom...
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173000169
quote:
0s.gif Op dinsdag 8 augustus 2017 17:52 schreef Bart2002 het volgende:

[..]

Vooral punt 3 is heel kwalijk. Het mag niet langer zijn dan 13 tekens. Dat is werkelijk nergens op gebaseerd. Zij dachten daar duidelijk: als we maar heel veel regels verzinnen dan is het wachtwoord automagisch veilig. Dat idee klopt niet. Sterker nog: het is volkomen fout. Je moet niet denken als een mens als je de regels bedenkt.
Helemaal mee eens.
  Moderator dinsdag 8 augustus 2017 @ 18:01:10 #27
179075 crew  hugecooll
Deelt corrigerende tikken uit
pi_173000253
quote:
0s.gif Op dinsdag 8 augustus 2017 17:31 schreef Bart2002 het volgende:

[..]

Idem. Alleen met iets anders ervoor Ik begon op 2008 en zit nu op 2029. :)
Ze zouden die wachtwoordwissel eigenlijk op jaarbasis moetne doen, dan wist je altijd je wachtwoord!
Liberals are acting like Trump is going to kill all the gays, make slavery legal again, and take away women's rights...
Like he's a Muslim or something.
pi_173000805
quote:
0s.gif Op dinsdag 8 augustus 2017 17:52 schreef Bart2002 het volgende:

[..]

Vooral punt 3 is heel kwalijk. Het mag niet langer zijn dan 13 tekens. Dat is werkelijk nergens op gebaseerd. Zij dachten daar duidelijk: als we maar heel veel regels verzinnen dan is het wachtwoord automagisch veilig. Dat idee klopt niet. Sterker nog: het is volkomen fout. Je moet niet denken als een mens als je de regels bedenkt.
Ik wilde net aangeven dat dat belachelijk is. Veel van mijn wachtwoorden zijn langer dan 13 tekens.
ROBODEMONS..................|:(
pi_173001001
quote:
11s.gif Op dinsdag 8 augustus 2017 18:25 schreef Morrigan het volgende:

[..]

Ik wilde net aangeven dat dat belachelijk is. Veel van mijn wachtwoorden zijn langer dan 13 tekens.
In het algemeen: de "geheugenkunstenaars" werken volgens het principe in het onderste deel van de strip in #2. Als een wachtwoord makkelijk te onthouden is kun je dat voor veel wachtwoorden. Je moet een kleine hint naar het onderwerp van dienst doen: de site. Dat kan meestal niet in 13 tekens.

Het gaat er vooral om wat makkelijk te onthouden is. Want voor de systemen is het allemaal een 512 bits, 1024 bits, 2048 bits hashcode. Ook al is het wachtwoord 17 kantjes A4. De wachtwoorden gezien vanuit het systeem en vanuit de mens zijn heel verschillend.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173001160
quote:
0s.gif Op dinsdag 8 augustus 2017 17:52 schreef Bart2002 het volgende:

[..]

Vooral punt 3 is heel kwalijk. Het mag niet langer zijn dan 13 tekens. Dat is werkelijk nergens op gebaseerd. Zij dachten daar duidelijk: als we maar heel veel regels verzinnen dan is het wachtwoord automagisch veilig. Dat idee klopt niet. Sterker nog: het is volkomen fout. Je moet niet denken als een mens als je de regels bedenkt.
AutomaTisch

Ik heb die vreemde variant al eens een keer gezien hier, dat was toch jij niet? :')
pi_173001198
Bij sommige kut sites moet je nieuw ww letterlijk aan 6 criiteria voldoen

waaronder geen matchende tekens direct achter elkaar oftewel geen
Aa
22
o.i.d.

Dat is pas kut.
  dinsdag 8 augustus 2017 @ 19:00:38 #33
300435 Eyjafjallajoekull
Broertje van Katlaah
pi_173001422
quote:
0s.gif Op dinsdag 8 augustus 2017 17:41 schreef Flitskikker het volgende:
Hier op school:

[ afbeelding ]

:')
Volgend jaar: Uw wachtwoord moet een ingewikkelde natuurkundige formule bevatten.
Opgeblazen gevoel of winderigheid? Zo opgelost met Rennie!
pi_173001477
quote:
2s.gif Op dinsdag 8 augustus 2017 19:00 schreef Eyjafjallajoekull het volgende:

[..]

Volgend jaar: Uw wachtwoord moet een ingewikkelde natuurkundige formule bevatten.
Dan kiest iedereen E=mc2 want simpel.
  dinsdag 8 augustus 2017 @ 19:04:20 #35
40150 Manke
'tis but a scratch
pi_173001503
quote:
0s.gif Op dinsdag 8 augustus 2017 17:44 schreef Bart2002 het volgende:

[..]

Tot het wachtwoord van deze manager aan de beurt is. Dan heb je ze allemaal in 1 keer. Slecht idee.
die hebben 2fa
pi_173001540
quote:
Accurate
pi_173002049
quote:
0s.gif Op dinsdag 8 augustus 2017 19:04 schreef Manke het volgende:

[..]

die hebben 2fa
Dat maakt niet zoveel uit. De lengte in bits van de hashcode maakt het moeilijk te raden. 1 bit meer is meteen een factor 2. Maar daar gaat het natuurlijk niet om. Als e.e.a. uitlekt of geraden wordt door een bekende. Dan is het mis. Want dat betreft dan al je wachtwoorden. En het is ook nog mogelijk dat er in de software die deze dingen mogelijk maakt een backdoortje zit die gewoon beschikbaar is via "Welkom123" en dan alle hashcodes verklapt.

In het algemeen zijn dit soort dingen uitgevonden voor de mens opdat hij al zijn wachtwoorden mag vergeten omdat software dit voor hem regelt. In principe is zo'n systeem inherent onveiliger dan dat je ze zelf apart zou onthouden. Alleen kan een mens dat niet.

Het is een masterkey van de kluis. En als iemand die heeft kan hij de hele kluis leegroven. Dat is anders dan dat hij alleen je wachtwoord voor feestboek krijgt.

[ Bericht 4% gewijzigd door Bart2002 op 08-08-2017 20:46:21 ]
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173002291
Het allerergste is nog wanneer je zo'n heel ingewikkeld wachtwoord moet invoeren bij een volstrekt irrelevante site, dus de website van school of van een krant om te kunnen reageren. Als iemand dat wachtwoord al zou willen kraken maakt dat nog niet zoveel uit.
Liberals are acting like Trump is going to kill all the gays, make slavery legal again, and take away women's rights...
Like he's a Muslim or something.
pi_173002669
Ik heb Gvd een schrift om al die ww bij te houden.
Je hoort bij de betere, maar nog lang niet bij de beste
pi_173003660
quote:
0s.gif Op dinsdag 8 augustus 2017 20:10 schreef halfway het volgende:
Ik heb Gvd een schrift om al die ww bij te houden.
Daar gaat het al fout. Ze worden geacht om in jouw hoofd opgeslagen te zijn. Wat kansloos is, dat weten we allemaal.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173003738
quote:
0s.gif Op dinsdag 8 augustus 2017 19:50 schreef LXIV het volgende:
Het allerergste is nog wanneer je zo'n heel ingewikkeld wachtwoord moet invoeren bij een volstrekt irrelevante site, dus de website van school of van een krant om te kunnen reageren. Als iemand dat wachtwoord al zou willen kraken maakt dat nog niet zoveel uit.
Dit inderdaad. Zoals je hierboven zag, die 34 regels waar een acceptabel wachtwoord aan dient te voldoen.... Voor de site van een school godbetert. Het is wel over the top allemaal.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  dinsdag 8 augustus 2017 @ 20:47:27 #42
303802 nogeenoudebekende
The future is shit...
pi_173003894
quote:
1s.gif Op dinsdag 8 augustus 2017 18:44 schreef Hdero het volgende:

[..]

AutomaTisch

Ik heb die vreemde variant al eens een keer gezien hier, dat was toch jij niet? :')
Automagisch FTW!!!!!11EINZ!
And so is the past
pi_173004565
quote:
7s.gif Op dinsdag 8 augustus 2017 20:47 schreef nogeenoudebekende het volgende:

[..]

Automagisch FTW!!!!!11EINZ!
Ik vond het vorige plaatje van je beter. Dat was volgens mij een leuke cynische Engelsman. Dat kwam helemaal overeen met het commentaar wat je doorgaans geeft.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173005264
quote:
0s.gif Op dinsdag 8 augustus 2017 20:40 schreef Bart2002 het volgende:

[..]

Daar gaat het al fout. Ze worden geacht om in jouw hoofd opgeslagen te zijn. Wat kansloos is, dat weten we allemaal.
Het is ook maar net hoe je het bewaart. Je kunt heus wel wachtwoorden opslaan op je computer zonder dat andere kunnen zien dat het om wachtwoorden gaat. Niet allemaal uiteraard. De belangrijke onthoud je dan.
ROBODEMONS..................|:(
pi_173005539
quote:
0s.gif Op dinsdag 8 augustus 2017 20:42 schreef Bart2002 het volgende:

[..]

Dit inderdaad. Zoals je hierboven zag, die 34 regels waar een acceptabel wachtwoord aan dient te voldoen.... Voor de site van een school godbetert. Het is wel over the top allemaal.
Buiten dat het over de top is maakt het het brute force kraken ook simpeler. Je kunt al een hoop combinaties uitsluiten.
Knapen die storneren willen moeten mannen met automatische incasso's zijn
pi_173006910
quote:
0s.gif Op dinsdag 8 augustus 2017 16:17 schreef spijkerbroek het volgende:

[..]

http://www.nu.nl/internet(...)sen-heeft-spijt.html

Uw wachtwoord moet minstens 8 en maximaal 16 tekens bevatten.
Uw nieuwe wachtwoord moet minimaal het volgende bevatten:
- 1 hoofdletter
- 1 kleine letter
- 1 cijfer
- 1 speciaal teken

D0nd%r toch snel op :r
Een wachtwoord als "konijn wortel doperwt groen" is beter dan welk wachtwoord met speciale tekens en cijfers dan ook.

Gelukkig is deze man tot inkeer gekomen. Maar helaas is het kwaad al geschied.
Onzin. Je genoemde wachtwoord heeft helemaal niet zoveel entropie, vooral omdat je gerelateerde worden gebruikt. Een random string van 10+ karakters is waarschijnlijk veiliger dan dat. Als je deze methode wel wil gebruiken moet je echt random worden kiezen. Verder wordt tegenwoordig 6+ worden aangereden.

Beste optie is toch echt de password manager. Dat is dan de zwakke plek, maar anders ga je zeker wachtwoorden gebruiken en ben je de Sjaak als van een van deze sites de wachtwoorden lekken. Toch een stuk groter risico.

Verder gewoon two factor authenticatie gebruiken voor belangrijke zaken.
  dinsdag 8 augustus 2017 @ 22:45:27 #47
21467 franske19
Hit the deck!
pi_173007586
quote:
0s.gif Op dinsdag 8 augustus 2017 17:00 schreef LXIV het volgende:
Bij het bedrijf waar ik werkt krijgt iedereen bij binnenkomst het wachtwoord Welcome01 en je moet dan iedere drie maanden een nieuw wachtwoord kiezen. Mijn wachtwoord is nu Welcome17
Herkenbaar.
"The wolves will come again," said Jojen solemnly. - George R.R. Martin
  dinsdag 8 augustus 2017 @ 22:46:55 #48
40150 Manke
'tis but a scratch
pi_173007621
quote:
0s.gif Op dinsdag 8 augustus 2017 19:35 schreef Bart2002 het volgende:

[..]

Dat maakt niet zoveel uit. De lengte in bits van de hashcode maakt het moeilijk te raden. 1 bit meer is meteen een factor 2. Maar daar gaat het natuurlijk niet om. Als e.e.a. uitlekt of geraden wordt door een bekende. Dan is het mis. Want dat betreft dan al je wachtwoorden. En het is ook nog mogelijk dat er in de software die deze dingen mogelijk maakt een backdoortje zit die gewoon beschikbaar is via "Welkom123" en dan alle hashcodes verklapt.

In het algemeen zijn dit soort dingen uitgevonden voor de mens opdat hij al zijn wachtwoorden mag vergeten omdat software dit voor hem regelt. In principe is zo'n systeem inherent onveiliger dan dat je ze zelf apart zou onthouden. Alleen kan een mens dat niet.

Het is een masterkey van de kluis. En als iemand die heeft kan hij de hele kluis leegroven. Dat is anders dan dat hij alleen je wachtwoord voor feestboek krijgt.
linux gebruiker? :P

een hash is toch altijd even lang?

ik bedoel die managers gebruiken dan wel één wachtwoord om toegang te krijgen tot de rest, met 2fa ingeschakeld heb je niks aan alleen het wachtwoord. dan denk ik aan lastpass.
pi_173007664
quote:
1s.gif Op dinsdag 8 augustus 2017 22:23 schreef kipknots het volgende:
Onzin.
Inderdaad. En de rest van wat je schrijft ook. Jouw post schetst precies het misverstand wat er leeft en wat leading is. "Random" (zeer moeilijk te onthouden voor een mens) maakt voor de computer geen enkel verschil. Zie het plaatje in post 2 over "entropie". Men gebruikt dat vaak maar snapt niet precies wat het eigenlijk is.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173007955
quote:
0s.gif Op dinsdag 8 augustus 2017 22:46 schreef Manke het volgende:
een hash is toch altijd even lang?
Ja. Hier gaan we de essentie raken van hoe het werkt. Ze zijn even lang. En ze zijn bijzonder random. Zelfs als je bijna hetzelfde wachtwoord als input hebt. Door de lengte qua hoeveelheid bits zijn ze in principe niet automatisch te kraken. Als je tenminste een limiet zet op het aantal pogingen en de pauze daarna.

De discussie over het wachtwoordgebeuren gaat m.i. over heel iets anders: hoe zijn zij voor de mens te handelen.... De systemen zijn perfect als ze voldoen aan het pauzegebeuren. Het echte probleem zetelt dus in de mens. Men zou het moeten hebben over hoe het voor de mens handelbaar en tevens veilig is. En dat gaat niet met die gibberish wachtwoorden.

Een eerste vereiste voor dit alles is: je moet de bitlengte groot maken. Als al je wachtwoorden worden omgezet naar een hashcode van 16 bits dan raad je alles binnen een seconde. Het kan ook zonder hashcode maar dan moet je een wachtwoord als plain-tekst opslaan. Wat veel beter is dan een hashcode omdat de lengte van het wachtwoord dan altijd in het voordeel werkt. Hoe langer hoe beter. Maar dat heeft dus voor de hand liggende nadelen.

Al met al is een wachtwoord een magisch getal. Voorkennis helpt hier veel. En mensen gebruiken voor alles overal hetzelfde wachtwoord. Dat maakt dat als je het weet voor een random site (dat gaat vaak toevallig) dat je het dan weet voor alles. Het probleem van een wachtwoord is niet hoe computers dit kunnen kraken maar hoe anderen er achter kunnen komen.

[ Bericht 6% gewijzigd door Bart2002 op 08-08-2017 23:14:44 ]
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  dinsdag 8 augustus 2017 @ 23:14:06 #51
73232 De_Hertog
Aut bibat, aut abeat
pi_173008331
quote:
0s.gif Op dinsdag 8 augustus 2017 17:30 schreef Bart2002 het volgende:

[..]

Dat kan in principe niet. Of je moet de wachtwoorden als plain tekst (via 1 of andere encryptie eventueel) opslaan.
Dat hoeft niet perse. Bij het wijzigen van je wachtwoord moet je vaak je huidige wachtwoord opgeven, dan kun je het nieuwe wachtwoord wel met die plaintext vergelijken zonder dat het moet worden opgeslagen.

quote:
0s.gif Op dinsdag 8 augustus 2017 17:43 schreef Bart2002 het volgende:

[..]

Zoals gezegd: als het systeem die punten allemaal kan controleren dat is het inherent onveilig omdat de echte wachtwoorden ergens opgeslagen worden. Zeg dat maar tegen je school.
Ook dat valt mee. De enige eis die terug gaat naar vorige wachtwoorden is dat ze niet eerder gebruikt mogen zijn en dat kun je ook bereiken door de hashes van alle gebruikte wachtwoorden te bewaren.

Waarmee ik absoluut niet wil zeggen dat deze eisen 'goed' zijn, of dat het daadwerkelijk op deze manier gedaan wordt, uiteraard. :+
Mary had a little lamb
Then Mary had dessert
  dinsdag 8 augustus 2017 @ 23:16:41 #52
7380 Treinhomo
2017: WTF is going on ?
pi_173008409
quote:
Geen idee wat dit met het topic te maken heeft, maar ik heb me wel de lul uit de broek gelachen. :D
De avond valt, ik rij wat in het rond
iemand trapt het leven uit z'n hond
twee jochies slaan een clown verrot
een junk ligt op straat en zet een shot.
pi_173008437
quote:
6s.gif Op dinsdag 8 augustus 2017 23:16 schreef Treinhomo het volgende:

[..]

Geen idee wat dit met het topic te maken heeft, maar ik heb me wel de lul uit de broek gelachen. :D
Ik ga dat zo ook maar even kijken dan. Is het werkelijk zo grappig? :)
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173008616
quote:
6s.gif Op dinsdag 8 augustus 2017 23:14 schreef De_Hertog het volgende:
Dat hoeft niet perse. Bij het wijzigen van je wachtwoord moet je vaak je huidige wachtwoord opgeven, dan kun je het nieuwe wachtwoord wel met die plaintext vergelijken zonder dat het moet worden opgeslagen.
Inderdaad. Dat is het gevaar van internet. In principe werkt een goed systeem zo dat het teken voor teken een hashcode bouwt. Dus met ieder teken wat je typt. Dat kan niet online. Dus de hele string wordt verstuurd en daar ga je al. Dingen van internet werken zo dat je die 2 invoerboxen met elkaar kunt vergelijken. En dat is al heel fout en inherent zwaar onveilig.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  dinsdag 8 augustus 2017 @ 23:25:14 #55
7380 Treinhomo
2017: WTF is going on ?
pi_173008629
quote:
Op dinsdag 8 augustus 2017 23:17 schreef Bart2002 het volgende:
Ik ga dat zo ook maar even kijken dan. Is het werkelijk zo grappig? :)
Oeh; da's een gewetensvraag. :@

(Wan)smaak is wel zó persoonlijk.
De avond valt, ik rij wat in het rond
iemand trapt het leven uit z'n hond
twee jochies slaan een clown verrot
een junk ligt op straat en zet een shot.
  Moderator dinsdag 8 augustus 2017 @ 23:25:34 #56
179075 crew  hugecooll
Deelt corrigerende tikken uit
pi_173008639
quote:
6s.gif Op dinsdag 8 augustus 2017 23:16 schreef Treinhomo het volgende:

[..]

Geen idee wat dit met het topic te maken heeft, maar ik heb me wel de lul uit de broek gelachen. :D
Hij heet (ook) Bill Burr (eerste zin vd OP)
pi_173008668
quote:
6s.gif Op dinsdag 8 augustus 2017 23:25 schreef Treinhomo het volgende:

[..]

Oeh; da's een gewetensvraag. :@

(Wan)smaak is wel zó persoonlijk.
Ja, dat is waar. Als ik moest lachen meld ik dat zo wel. Blijft het stil: trek dan je conclusie. ;)
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  dinsdag 8 augustus 2017 @ 23:43:44 #58
73232 De_Hertog
Aut bibat, aut abeat
pi_173009089
quote:
0s.gif Op dinsdag 8 augustus 2017 23:24 schreef Bart2002 het volgende:

[..]

Inderdaad. Dat is het gevaar van internet. In principe werkt een goed systeem zo dat het teken voor teken een hashcode bouwt. Dus met ieder teken wat je typt. Dat kan niet online. Dus de hele string wordt verstuurd en daar ga je al. Dingen van internet werken zo dat je die 2 invoerboxen met elkaar kunt vergelijken. En dat is al heel fout en inherent zwaar onveilig.
Als je je data via POST over HTTPS verstuurt is dat gewoon prima veilig. Client Side hashing is niet veiliger. Zie bijv. https://security.stackexc(...)-password-over-https

Overigens zou je zelfs in dat systeem clientside de twee uiteindelijke hashes met elkaar kunnen vergelijken, dus ook daar hoeft een 'uw wachtwoord mag niet gelijk zijn aan uw vorige wachtwoord' melding niet direct op een onveilig systeem te duiden
Mary had a little lamb
Then Mary had dessert
pi_173009255
quote:
6s.gif Op dinsdag 8 augustus 2017 23:25 schreef Treinhomo het volgende:

[..]

Oeh; da's een gewetensvraag. :@

(Wan)smaak is wel zó persoonlijk.
Dat door en door en door doordraven over hetzelfde vind ik leuk. Wim Kan kon dat ook zo superieur. Het is ook heel herkenbaar: ik was aan het koken geweest en daar hoorde een rooster ovenfriet bij. Op 225 graden uit de oven. De vrouw ging e.e.a. opscheppen, dingen van pannen enzo. Dat rooster stond toen op het aanrecht en zij verbrande haar hand toen ze daar per ongeluk tegenaan kwam.

En toen kreeg ik de schuld dat ik haar niet verteld had dat dat rooster heet was... Toen heb ik haar ook even goed met het hoofd tegen het aanrecht gebeukt natuurlijk. Maar dat moet binnenshuis blijven want mensen vinden zoiets dan "raar". Lastige vragen worden dan gesteld. Waar je natuurlijk niet op staat te wachten. Dus er is wel "reason", vandaar een goed clipje. Maar context is altijd nodig om niet de gebeten hond te zijn als man zijnde. :D
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173009337
quote:
1s.gif Op dinsdag 8 augustus 2017 23:43 schreef De_Hertog het volgende:
Overigens zou je zelfs in dat systeem clientside de twee uiteindelijke hashes met elkaar kunnen vergelijken
Nee. Hashes kun je niet vergelijken. Als je gehakt ziet dan kun je niet meer zien van welk varken dat afkomstig is. Ook kun je van dat gehakt geen varken meer maken. Dat is nou juist de kracht van het hash-algoritme. Het is een slecht begrepen fenomeen. Zie het als een vleesmolen. Je kunt enkel vergelijken of ze hetzelfde zijn. En dan is de input ook hetzelfde. Is de input 1 teken anders dan kun je ze niet vergelijken. Je kunt dus niet controleren of het wachtwoord "Welkom123" lijkt op wachtwoord "Welkom124".

Als dat wel kan dan doet het iets met plain tekst en de hele string. En dat moet je niet doen. Je sluit dan alles uit wat nou juist de bedoeling is met veiligheid.

Dus die 3 tekstvakken met "oude wachtwoord", "nieuwe wachtwoord", "nogmaals nieuwe wachtwoord" en als ze daar dan iets van vinden behalve of het oude wachtwoord niet klopt en/of de 2 nieuwe wachtwoorden niet hetzelfde zijn zijn inherent onveilig. Zij doen dan iets op de client wat betekent dat zij alle invoerstrings weten of ze versturen dat gewoon naar de server. Het eerste is wat minder problematisch dan het laatste maar het is beide niet goed.

[ Bericht 7% gewijzigd door Bart2002 op 09-08-2017 00:26:54 ]
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173010161
quote:
0s.gif Op dinsdag 8 augustus 2017 17:00 schreef LXIV het volgende:
Bij het bedrijf waar ik werkt krijgt iedereen bij binnenkomst het wachtwoord Welcome01 en je moet dan iedere drie maanden een nieuw wachtwoord kiezen. Mijn wachtwoord is nu Welcome17
is dat een zekere verzekeraar?
pi_173010163
quote:
10s.gif Op woensdag 9 augustus 2017 00:51 schreef Yreal het volgende:

[..]

is dat een zekere verzekeraar?
Nee.
Liberals are acting like Trump is going to kill all the gays, make slavery legal again, and take away women's rights...
Like he's a Muslim or something.
pi_173011775
quote:
0s.gif Op dinsdag 8 augustus 2017 22:48 schreef Bart2002 het volgende:

[..]

Inderdaad. En de rest van wat je schrijft ook. Jouw post schetst precies het misverstand wat er leeft en wat leading is. "Random" (zeer moeilijk te onthouden voor een mens) maakt voor de computer geen enkel verschil. Zie het plaatje in post 2 over "entropie". Men gebruikt dat vaak maar snapt niet precies wat het eigenlijk is.
Nee, je begrijpt de XKCD strip niet. Het er wachtwoord daarin is ook niet random, maar een woord met wat gehusselde letters. Daarom is dat zo onveilig. Als het daadwerkelijk een random string van tien tekens was was het een stuk veiliger geweest.

Je beeld van een aanval is ook niet correct. Het grootste gevaar dat veel mensen lopen is dat de wachtwoord hashes van een populaire service worden gelekt en hier een dictionary aanval op wordt uitgevoerd. Zelfs als er een random salt wordt gebruikt kan dan behoorlijk wat worden achterhaald omdat zo'n aanval met een paar miljard pogingen per seconde worden gedaan. Vervolgens kunnen de achterhaalde wachtwoorden vaak worden gebruikt om op andere systemen in te loggen aangezien de meeste mensen wachtwoorden hergebruiken.

Verder is het versturen van plain text wachtwoorden over een goed versleutelde HTTPS verbinding in de basis veilig. En plain text aan cliënt side ook. De enige realistische manier om dit te kraken is door directe toegang te hebben tot de cliënt zelf en dan helpt een of ander vaag systeem als hashen per teken ook niet meer.
  woensdag 9 augustus 2017 @ 09:45:05 #64
73232 De_Hertog
Aut bibat, aut abeat
pi_173013229
quote:
0s.gif Op dinsdag 8 augustus 2017 23:53 schreef Bart2002 het volgende:

[..]

Nee. Hashes kun je niet vergelijken. Als je gehakt ziet dan kun je niet meer zien van welk varken dat afkomstig is. Ook kun je van dat gehakt geen varken meer maken. Dat is nou juist de kracht van het hash-algoritme. Het is een slecht begrepen fenomeen. Zie het als een vleesmolen. Je kunt enkel vergelijken of ze hetzelfde zijn.
Ja, dus je kunt prima vergelijken of het oude en nieuwe wachtwoord hetzelfde zijn. En als je de wachtwoorden aan de server-kant hashed in plaats van aan de client (wat zoals hierboven ook staat en ik in mijn vorige post naar linkte prima veilig is) kun je dat ook doen met oudere wachtwoorden.

Nogmaals, ik zeg niet dat je dit moet afdwingen of opslaan op deze manier. Maar een controle op een ouder wachtwoord, of oudere wachtwoorden, duidt niet perse direct op een veiligheidsprobleem in de implementatie.
Mary had a little lamb
Then Mary had dessert
  woensdag 9 augustus 2017 @ 09:49:05 #65
8130 raptorix
THAI CHARACTER MAITAIKHU
pi_173013296
quote:
0s.gif Op dinsdag 8 augustus 2017 17:30 schreef Bart2002 het volgende:

[..]

Dat kan in principe niet. Of je moet de wachtwoorden als plain tekst (via 1 of andere encryptie eventueel) opslaan. Bij de echte systemen wordt alleen de hashcode opgeslagen. En die hashcode is heel erg anders, ook bij 1 teken verschil. Voor de systemen en en hackers maakt het allemaal niet zoveel uit. Het is het uitproberen van hashcodes. Dat moet op ieder systeem beperkt worden tot maximaal 4 keer fout en daarna een uur pauze. Zo ben je veilig tegen automaten.
Nee hoor, dat is wel op slimmere manieren te doen, bijvoorbeeld door ook een footprint op te slaan van een wachtwoord structuur.
  woensdag 9 augustus 2017 @ 09:50:20 #66
8130 raptorix
THAI CHARACTER MAITAIKHU
pi_173013322
quote:
0s.gif Op dinsdag 8 augustus 2017 17:43 schreef Bart2002 het volgende:

[..]

Zoals gezegd: als het systeem die punten allemaal kan controleren dat is het inherent onveilig omdat de echte wachtwoorden ergens opgeslagen worden. Zeg dat maar tegen je school.

Het is wel duidelijk dat "de mens" maar ook degenen die het implementeren bijzonder weinig snappen van het metier.
Jij ook niet echt, wat je roept is simpelweg niet waar, overigens is het flauwekul om dit soort beperkingen op te leggen.
pi_173013377
quote:
0s.gif Op woensdag 9 augustus 2017 09:49 schreef raptorix het volgende:

[..]

Nee hoor, dat is wel op slimmere manieren te doen, bijvoorbeeld door ook een footprint op te slaan van een wachtwoord structuur.
O boy. Maar ik hou erover op. Iedereen heeft blijkbaar een particuliere mening over dit soort zaken. Het kan op vele manieren en die zijn allemaal goed lijkt men te denken.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173013437
quote:
0s.gif Op woensdag 9 augustus 2017 09:49 schreef raptorix het volgende:

[..]

Nee hoor, dat is wel op slimmere manieren te doen, bijvoorbeeld door ook een footprint op te slaan van een wachtwoord structuur.
Dit deel heb ik geen ervaring mee. Zou zo'n footprint geen extra aanvalsvector zijn bij het kraken van hashes? Hoe doe je zoiets zonder het aantal mogelijke wachtwoorden dat de gebruiker nu heeft enorm te beperken?

Of als je enkel footprints voor eerdere wachtwoorden op en voeg je er één toe voor het oude wachtwoord als je deze wijzigt?
  woensdag 9 augustus 2017 @ 09:58:04 #69
8130 raptorix
THAI CHARACTER MAITAIKHU
pi_173013473
quote:
0s.gif Op woensdag 9 augustus 2017 09:53 schreef Bart2002 het volgende:

[..]

O boy. Maar ik hou erover op. Iedereen heeft blijkbaar een particuliere mening over dit soort zaken. Het kan op vele manieren en die zijn allemaal goed lijkt men te denken.
Joh, ik implementeer en beheer ruim 20 jaar websites, ik maak security audits van banken mee, ik weet echt wel waar ik het over heb.
  woensdag 9 augustus 2017 @ 10:00:48 #70
8130 raptorix
THAI CHARACTER MAITAIKHU
pi_173013525
quote:
1s.gif Op woensdag 9 augustus 2017 09:56 schreef kipknots het volgende:

[..]

Dit deel heb ik geen ervaring mee. Zou zo'n footprint geen extra aanvalsvector zijn bij het kraken van hashes? Hoe doe je zoiets zonder het aantal mogelijke wachtwoorden dat de gebruiker nu heeft enorm te beperken?

Of als je enkel footprints voor eerdere wachtwoorden op en voeg je er één toe voor het oude wachtwoord als je deze wijzigt?
Als je beide zou kunnen bemachtigen zal dat ongetwijfeld een verhoging van de kansen geven, je zult dus een afweging moeten maken. Echter qua security zijn er meestal een hoop andere zaken die minder aandacht krijgen.
  woensdag 9 augustus 2017 @ 10:05:30 #71
8130 raptorix
THAI CHARACTER MAITAIKHU
pi_173013625
Ik heb er even naar gezocht, maar het brengt geen extra risicos's mee, hier een uitstekende uitleg:

https://www.quora.com/How(...)Graw-Herdeg?srid=Itv
pi_173013662
Bart2002 praat weer eens alsof hij ergens verstand over heeft, maar klok en klepel...
pi_173013782
quote:
0s.gif Op dinsdag 8 augustus 2017 16:17 schreef spijkerbroek het volgende:
Gelukkig is deze man tot inkeer gekomen. Maar helaas is het kwaad al geschied.
Moraal van het verhaal: wantrouw *sommige* experts (nee, ik heb niets tegen vaccinaties, maar klimaatwetenschappers die het voor the childrun doen wantrouw ik met verve), vooral als je theewater zegt dat het ook anders kan.
The gravest, most persistent sin of mankind lies in not treating everyone as an individual - Mark Helprin
pi_173013991
quote:
0s.gif Op woensdag 9 augustus 2017 10:05 schreef raptorix het volgende:
Ik heb er even naar gezocht, maar het brengt geen extra risicos's mee, hier een uitstekende uitleg:

https://www.quora.com/How(...)Graw-Herdeg?srid=Itv
quote:
e.g. comparing a hash of this string against the stored hash of your current password
En dat kan dus niet. Zoals gezegd je kunt hashcode's niet met elkaar vergelijken en daar een bepaalde conclusie uit trekken behalve dat ze hetzelfde zijn of niet. Als dat wel kon dan moet je ze vermijden want ze zijn dan immers onveilig.

B.v. (vereenvoudigd voorbeeld van de hashcodes van 2 strings):

100011101010001111010001 (wachtwoord 1)
001100101110010110000110 (wachtwoord 2)

Welke conclusies kun je allemaal trekken? Lijkt wachtwoord 1 (Welkom123) op wachtwoord 2 (Welkom124)?

Ik heb het idee dat ik wat anders bedoel dan de anderen hier. Of dat men niet precies snapt wat een hashcode is en hoe die tot stand komt.

@Steenkool: van hashcodes en alles rondom het thema heb ik wel veel verstand hoor.

En voor de goede orde: je kunt uit bovenstaande 2 code's het origineel NIET herleiden. En is het dus onmogelijk te bepalen of de 2 op elkaar lijken of hetzelfde "thema" hebben. Zo werkt dat. Ik zal het topic t.z.t. nog eens goed lezen want ik heb het idee dat "men" (ook ik) langs elkaar heen praten.

[ Bericht 3% gewijzigd door Bart2002 op 09-08-2017 10:40:52 ]
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  woensdag 9 augustus 2017 @ 10:23:25 #75
269262 PalmRoyale
Life's a bitch.
pi_173014003
Ik gebruik altijd wachtwoorden zoals zwalustaartaftekenhulpstukje of Nederlandsetrampolinespringkampioenschappen. Arbeidsongeschiktheidverzekeringsformulier en landbouwmechanisatietetentoonstelling zijn ook leuke. Zulke woorden zijn makkelijk te onthouden maar voor een hacker zo moeilijk om te achterhalen dat ze het vrij snel opgeven.
"Our rights are not granted by governments. They are inherent to our nature. But it's entirely the opposite for governments: their privileges are precisely equal to only that which we suffer them to enjoy." - Edward Snowden
  woensdag 9 augustus 2017 @ 10:32:46 #76
78680 Nielsch
Al 41 jaar op FOK!
pi_173014208
berenanusboswachterremlof
Op zaterdag 8 oktober 2016 23:29 schreef Braindead2000 het volgende: Als je een vrouw vooraf gaat vragen of je haar bij haar kutje mag grijpen dan ben je wel een enorme sukkel.
  woensdag 9 augustus 2017 @ 10:41:30 #77
73232 De_Hertog
Aut bibat, aut abeat
pi_173014342
quote:
0s.gif Op woensdag 9 augustus 2017 10:23 schreef Bart2002 het volgende:

[..]

[..]

En dat kan dus niet. Zoals gezegd je kunt hashcode's niet met elkaar vergelijken en daar een bepaalde conclusie uit trekken behalve dat ze hetzelfde zijn of niet. Als dat wel kon dan moet je ze vermijden want ze zijn dan immers onveilig.

B.v. (vereenvoudigd voorbeeld van de hashcodes van 2 strings):

100011101010001111010001 (wachtwoord 1)
001100101110010110000110 (wachtwoord 2)

Welke conclusies kun je allemaal trekken? Lijkt wachtwoord 1 (Welkom123) op wachtwoord 2 (Welkom124)?
Je versimpelt het daar voorgestelde systeem door maar een deel van de zin te citeren. Wat ze voorstellen is het volgende:

Gegeven nieuw wachtwoord 'welkom12' genereren zij hashcodes voor alle wachtwoorden die ze op het nieuwe wachtwoord vinden lijken (bijvoorbeeld 'welkom1', 'welkom11' en 'welkom13'). Als één van die hashes exact lijkt op de hash van het oude wachtwoord ('welkom11') wordt het wachtwoord aangemerkt als 'te gelijkend'.
Mary had a little lamb
Then Mary had dessert
pi_173014393
quote:
0s.gif Op woensdag 9 augustus 2017 10:41 schreef De_Hertog het volgende:

[..]

Je versimpelt het daar voorgestelde systeem door maar een deel van de zin te citeren. Wat ze voorstellen is het volgende:

Gegeven nieuw wachtwoord 'welkom12' genereren zij hashcodes voor alle wachtwoorden die ze op het nieuwe wachtwoord vinden lijken (bijvoorbeeld 'welkom1', 'welkom11' en 'welkom13'). Als één van die hashes exact lijkt op de hash van het oude wachtwoord ('welkom11') wordt het wachtwoord aangemerkt als 'te gelijkend'.
Zeker. Dat denkt men. Maar zo werkt het niet. Je krijgt geen "gelijkende" (hoe moet ik dat zien overigens?) hashcodes door woorden die op elkaar lijken te coderen. Laat staan precies dezelfde code. Dat is nou juist mijn betoog. Dit is de kracht van hashcodering: je kunt er volstrekt niets uit afleiden en al helemaal niet hoe hij tot stand is gekomen. Als dat wel kon dan was de methodiek onveilig. En dat is ie niet.

Zie nogmaals die 2 bitstrings boven. Wat kun je eruit afleiden als jouw informatie enkel deze 2 strings zijn (want zo hoort het..)? Niets. En dat is precies de bedoeling.

Hoe zie jij dat trouwens? Hashcodes die op elkaar "lijken"? Dat hele fenomeen bestaat volgens mij niet. Maar ik denk dat we beide iets anders bedoelen. Dat kan haast niet anders.

[ Bericht 2% gewijzigd door Bart2002 op 09-08-2017 10:56:05 ]
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  woensdag 9 augustus 2017 @ 10:56:13 #79
73232 De_Hertog
Aut bibat, aut abeat
pi_173014589
quote:
0s.gif Op woensdag 9 augustus 2017 10:44 schreef Bart2002 het volgende:

[..]

Zeker. Maar zo werkt het niet. Je krijgt geen "gelijkende" (hoe moet ik dat zien overigens?) hashcodes door woorden die op elkaar lijken te coderen. Laat staan precies dezelfde code. Dat is nou juist mijn betoog. Dit is de kracht van hashcodering: je kunt er niets uit afleiden en al helemaal niet hoe hij tot stand is gekomen.

Hoe zie jij dat trouwens? Hashcodes die op elkaar "lijken"? Dat hele fenomeen bestaat volgens mij niet. Maar ik denk dat we beide iets anders bedoelen. Dat kan haast niet anders.
Inderdaad: je controleert hier geen 'gelijkende' hashcodes, je creëert hashcodes van gelijkende strings. Als een van die hashcodes (exact) gelijk is aan die van het oude wachtwoord heb je een 'te veel lijkend' wachtwoord te pakken.

Dus:

Oud wachtwoord 'welkom12', hashcode '100011101010001111010001'
Nieuw wachtwoord 'welkom13', hashcode '001100101110010110000110'
Gegenereerd gelijkend nieuw wachtwoord 1: 'welkom1', hashcode '010001100011000100110010'
Gegenereerd gelijkend nieuw wachtwoord 2: 'welkom12', hashcode '100011101010001111010001'
Gegenereerd gelijkend nieuw wachtwoord 3: 'welkom14', hashcode '001010101011110111011101'
(etc.)

De hashcode van gegeneerd gelijkend nieuw wachtwoord 2 is gelijk aan die van het oude wachtwoord, dus het nieuwe wachtwoord lijkt te veel op het oude.
Mary had a little lamb
Then Mary had dessert
pi_173014597
quote:
0s.gif Op woensdag 9 augustus 2017 10:44 schreef Bart2002 het volgende:

[..]

Zeker. Dat denkt men. Maar zo werkt het niet. Je krijgt geen "gelijkende" (hoe moet ik dat zien overigens?) hashcodes door woorden die op elkaar lijken te coderen. Laat staan precies dezelfde code. Dat is nou juist mijn betoog. Dit is de kracht van hashcodering: je kunt er niets uit afleiden en al helemaal niet hoe hij tot stand is gekomen.

Zie nogmaals die 2 bitstrings boven. Wat kun je eruit afleiden als jouw informatie enkel deze 2 strings zijn (want zo hoort het..)? Niets. En dat is precies de bedoeling.

Hoe zie jij dat trouwens? Hashcodes die op elkaar "lijken"? Dat hele fenomeen bestaat volgens mij niet. Maar ik denk dat we beide iets anders bedoelen. Dat kan haast niet anders.
Hashes zijn inderdaad "one way". Je kan wel hashes genereren van vergelijkbare strings; dus als iemand "welkom01" als wachtwoord kiest sla je de hash van "welkom01" in de database op, maar je kan daarnaast ook meteen de hash van "welkom02" opslaan; als de gebruiker dan zijn wachtwoord wijzigt in "welkom02" dan matcht dat met de al eerder gegenereerde hash en kun je dit wachtwoord weigeren wegens teveel gelijkenis met het vorige wachtwoord.
pi_173014636
quote:
0s.gif Op woensdag 9 augustus 2017 10:56 schreef De_Hertog het volgende:
De hashcode van gegeneerd gelijkend nieuw wachtwoord 2 komt overeen met die van het oude wachtwoord, dus het nieuwe wachtwoord lijkt te veel op het oude.
Nee. Dit kan niet. Zo werkt het niet. Ik weet niet hoe ik het anders formuleren dan in #78. Je krijgt geen gelijke hashcodes door woorden die op elkaar lijken te hashen. Dat is nu juist de kracht en de theoretische basis.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  woensdag 9 augustus 2017 @ 11:00:17 #82
73232 De_Hertog
Aut bibat, aut abeat
pi_173014673
quote:
0s.gif Op woensdag 9 augustus 2017 10:58 schreef Bart2002 het volgende:

[..]

Nee. Dit kan niet. Zo werkt het niet. Ik weet niet hoe ik het anders formuleren dan in #78. Je krijgt geen gelijke hashcodes door woorden die op elkaar lijken te hashen.
Ze lijken niet op elkaar, ze zijn hetzelfde. Gegenereerd nieuw wachtwoord 2 en oud wachtwoord zijn hetzelfde.
Mary had a little lamb
Then Mary had dessert
pi_173014703
quote:
0s.gif Op woensdag 9 augustus 2017 10:56 schreef Farenji het volgende:

[..]

Hashes zijn inderdaad "one way". Je kan wel hashes genereren van vergelijkbare strings; dus als iemand "welkom01" als wachtwoord kiest sla je de hash van "welkom01" in de database op, maar je kan daarnaast ook meteen de hash van "welkom02" opslaan; als de gebruiker dan zijn wachtwoord wijzigt in "welkom02" dan matcht dat met de al eerder gegenereerde hash en kun je dit wachtwoord weigeren wegens teveel gelijkenis met het vorige wachtwoord.
Ah. Ja, dat klopt inderdaad. Men bedoelde dus w.s. dat. ;) Al lijkt me deze "methode" ook niet echt het neusje van de zalm op het gebied van veiligheid. Je gaat tenslotte aan de slag met het ongecodeerde origineel. Dat moet wel want anders kun je de gelijkenis niet bepalen. Ik vraag me af of deze manier (waar ik nog nooit van gehoord heb, maar dat zegt verder niets..) een solide theoretische basis heeft. Ik vermoed van niet.

quote:
Hashes zijn inderdaad "one way".
Het is gehakt waarvan je geen varken meer kunt maken. :)

[ Bericht 12% gewijzigd door Bart2002 op 09-08-2017 11:14:41 ]
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173015001
quote:
0s.gif Op woensdag 9 augustus 2017 11:01 schreef Bart2002 het volgende:

[..]

Ah. Ja, dat klopt inderdaad. Men bedoelde dus w.s. dat. ;) Al lijkt me deze "methode" ook niet echt het neusje van de zalm op het gebied van veiligheid. Je gaat tenslotte aan de slag met het ongecodeerde origineel. Dat moet wel want anders kun je de gelijkenis niet bepalen. Ik vraag me af of deze manier (waar ik nog nooit van gehoord heb, maar dat zegt verder niets..) een solide theoretische basis heeft. Ik vermoed van niet.
Nee, het voegt heel weinig toe want het pakt het onderliggende probleem niet aan: je kan natuurlijk nooit alle variaties gaan opslaan en het is daarnaast nog steeds mogelijk om zwakke wachtwoorden te gebruiken. Beter is het dan om een library als zxcvbn te gebruiken die (los van je eerder gekozen wachtwoorden) de sterkte van wachtwoorden al aan de client side checkt op allerlei kenmerken.

Maar wachtwoorden an sich zijn helemaal niet veilig. Los van de sterkte kunnen ze gesniffed worden of dmv een keylogger achterhaald worden; of je kan ze eenvoudig resetten als je iemands email ook in handen hebt. Daarom zie je tegenwoordig steeds meer two factor authenticatie; waar je behalve een wachtwoord (iets wat je weet) ook een tweede stap hebt, zoals een pasje, of een challenge/response systeem via je smartphone (iets wat je hebt); of een biometrisch iets zoals stem, gezicht, vingerafdruk, iris etc (iets wat je bent). Als het ene dan gecompromitteerd is dan heb je de tweede stap nog. Ook niet 100% waterdicht (zeker biometrie heeft flinke nadelen) maar wel beduidend veiliger.
  woensdag 9 augustus 2017 @ 11:55:09 #85
8130 raptorix
THAI CHARACTER MAITAIKHU
pi_173015841
quote:
0s.gif Op woensdag 9 augustus 2017 10:23 schreef Bart2002 het volgende:

[..]

[..]

En dat kan dus niet. Zoals gezegd je kunt hashcode's niet met elkaar vergelijken en daar een bepaalde conclusie uit trekken behalve dat ze hetzelfde zijn of niet. Als dat wel kon dan moet je ze vermijden want ze zijn dan immers onveilig.

B.v. (vereenvoudigd voorbeeld van de hashcodes van 2 strings):

100011101010001111010001 (wachtwoord 1)
001100101110010110000110 (wachtwoord 2)

Welke conclusies kun je allemaal trekken? Lijkt wachtwoord 1 (Welkom123) op wachtwoord 2 (Welkom124)?

Ik heb het idee dat ik wat anders bedoel dan de anderen hier. Of dat men niet precies snapt wat een hashcode is en hoe die tot stand komt.

@Steenkool: van hashcodes en alles rondom het thema heb ik wel veel verstand hoor.

En voor de goede orde: je kunt uit bovenstaande 2 code's het origineel NIET herleiden. En is het dus onmogelijk te bepalen of de 2 op elkaar lijken of hetzelfde "thema" hebben. Zo werkt dat. Ik zal het topic t.z.t. nog eens goed lezen want ik heb het idee dat "men" (ook ik) langs elkaar heen praten.
Ok wijsneus, als ik een nieuw wachtwoord invoer, voer ik ook mijn oude wachtwoord in, op dat moment kun je dus veilig een compare doen, zonder dat dit word opgeslagen, kortom de eerste stap is een check dat ze niet te veel op elkaar lijken, wanneer dat goed is kun je het nieuwe gehashde password weer opslaan.
pi_173016654
quote:
0s.gif Op dinsdag 8 augustus 2017 23:53 schreef Bart2002 het volgende:

[..]

Nee. Hashes kun je niet vergelijken. Als je gehakt ziet dan kun je niet meer zien van welk varken dat afkomstig is. Ook kun je van dat gehakt geen varken meer maken. Dat is nou juist de kracht van het hash-algoritme. Het is een slecht begrepen fenomeen. Zie het als een vleesmolen. Je kunt enkel vergelijken of ze hetzelfde zijn. En dan is de input ook hetzelfde. Is de input 1 teken anders dan kun je ze niet vergelijken. Je kunt dus niet controleren of het wachtwoord "Welkom123" lijkt op wachtwoord "Welkom124".

Als dat wel kan dan doet het iets met plain tekst en de hele string. En dat moet je niet doen. Je sluit dan alles uit wat nou juist de bedoeling is met veiligheid.

Dus die 3 tekstvakken met "oude wachtwoord", "nieuwe wachtwoord", "nogmaals nieuwe wachtwoord" en als ze daar dan iets van vinden behalve of het oude wachtwoord niet klopt en/of de 2 nieuwe wachtwoorden niet hetzelfde zijn zijn inherent onveilig. Zij doen dan iets op de client wat betekent dat zij alle invoerstrings weten of ze versturen dat gewoon naar de server. Het eerste is wat minder problematisch dan het laatste maar het is beide niet goed.
En op welke manier zou jij implementeren dat het paswoord aan client-side ook niet gekend is?
Experiencing minor difficulties. Have positive up-angle and attempting to blow. Will keep you informed.
  woensdag 9 augustus 2017 @ 13:06:41 #87
341556 whY...
symbolisch ambassadeur
pi_173017240
quote:
1s.gif Op dinsdag 8 augustus 2017 18:44 schreef Hdero het volgende:

[..]

AutomaTisch

Ik heb die vreemde variant al eens een keer gezien hier, dat was toch jij niet? :')
Ik weet niet of het al uitgelegd is. Automagisch is een bewuste woordkeuze. Sommige mensen buiten de IT hebben soms het idee dat alles met 1 druk op een knop geregeld kan worden (een magische knop zo gezegd). Meestal leg je aan mensen ook niet uit dat er onwijs complexe structuren zijn om iets geregeld te krijgen (processen). Dus je hebt input, dan gebeurd er iets, dan heb je de output. Alsof het automatisch gebeurd, hence automagisch.
Apeldoorn 't Loo is waar ik te vinden ben.
"Ambassadeur van de stad Apeldoorn, namens Isis20."
pi_173017485
quote:
0s.gif Op woensdag 9 augustus 2017 12:35 schreef crystal_meth het volgende:

[..]

En op welke manier zou jij implementeren dat het paswoord aan client-side ook niet gekend is?
Ik moet zo weg, op vakantie. (geen smoes) :) Ik kom er op terug.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
pi_173017595
quote:
0s.gif Op woensdag 9 augustus 2017 11:55 schreef raptorix het volgende:

[..]

Ok wijsneus, als ik een nieuw wachtwoord invoer, voer ik ook mijn oude wachtwoord in, op dat moment kun je dus veilig een compare doen, zonder dat dit word opgeslagen, kortom de eerste stap is een check dat ze niet te veel op elkaar lijken, wanneer dat goed is kun je het nieuwe gehashde password weer opslaan.
Als dat alles inderdaad "aan boord" blijft dan kan dat w.s. niet anders. Het middel is niet onomstreden zoals Farenji al schreef (#84). Verder klopt mi.i. alles wat ik schreef over hashcodes, die verder niet van toepassing zijn als je ongecodeerde vergelijkingen gaat doen. Ik vraag me af of dit soort systemen "state of the art" zijn ontworpen en geïmplementeerd want daar gaat het om natuurlijk.
vrijdag 9 december 2016 15:58 schreef Ringo het volgende:
Welke discussie? Ik zie alleen maar harige kerels die elkaar de rug inzepen.
  woensdag 9 augustus 2017 @ 13:38:53 #90
8130 raptorix
THAI CHARACTER MAITAIKHU
pi_173017956
quote:
0s.gif Op woensdag 9 augustus 2017 13:22 schreef Bart2002 het volgende:

[..]

Als dat alles inderdaad "aan boord" blijft dan kan dat w.s. niet anders. Het middel is niet onomstreden zoals Farenji al schreef (#84). Verder klopt mi.i. alles wat ik schreef over hashcodes, die verder niet van toepassing zijn als je ongecodeerde vergelijkingen gaat doen. Ik vraag me af of dit soort systemen "state of the art" zijn ontworpen en geïmplementeerd want daar gaat het om natuurlijk.
Gast je beweerd zelf dat om te kijken of en wachtwoord er niet te veel op lijkt je wachtwoorden ongehashed moet opslaan. Kortom NIET alles wat je beweerd klopt.
pi_173018342
quote:
Zo vaak dit plaatje laten zien, waarna ik meestal door fok zolderautisten werd aangevallen hoe dat niet klopt of achterhaald zou zijn. :')

Echt dit gaat al jaren terug.
pi_173028168
Daarom gewoon simpele wachtwoorden met two factor authenticatie wanneer je ingelogd bent 128bit automatisch gegenereerde wachtwoorden gebruiken met je password manager *O*
abonnementen ibood.com bol.com Gearbest
Forum Opties
Forumhop:
Hop naar:
(afkorting, bv 'KLB')